Высокая стена больше не спасает — нужна многоуровневая защита

Традиционный подход к кибербезопасности, когда защита от хакерских атак воспринималась как стены, возводимые вокруг замка, больше не работает. Как показывает история, вместе с техническим процессом совершенствуется и оружие, так что стены перестают защищать от пушек и дронов. Такую аналогию реального и виртуального привёл бизнес-консультант, ИТ-евангелист Positive Technologies Алексей Лукацкий. По его словам, дроны стали отличной иллюстрацией этого процесса. Маленький беспилотник стоимостью в 500 долларов или десяток дронов за 800 долларов легко уничтожают многомиллионные танки. Аналогично и в киберпространстве происходят схожие перемены.

— Дрон в киберпространстве эквивалентен искусственному интеллекту. Сегодня ИИ существенно снижает стоимость атакующих инструментов. Раньше для организации атак требовались глубокие знания и навыки. Теперь, обучив модели и заложив их в инструменты, злоумышленники получают широкие возможности для использования ИИ в наступательных операциях, — заметил эксперт.

Лаборатории Positive Technologies фиксируют активный интерес злоумышленников к использованию ИИ. Пока это ограничивается созданием фейковых сообщений и фишинга, но постепенно они начинают писать спам-сообщения и выявлять уязвимости. Пока для эффективной работы с ИИ требуется квалификация, но в перспективе 1–2 лет Лукацкий прогнозирует радикальное изменение ситуации. ИИ станет полноценной аналогией дронов, разрушающих многомиллиардные системы безопасности, построенные по устаревшим принципам.

Первой тенденцией, которую стоит учесть в своей стратегии, эксперт считает то, что стена остается важной частью защиты, но перестает быть центром вселенной. Ранее целью было предотвратить вторжение врага, поэтому выстраивались многослойная оборона и защитные экраны. Сегодня главной задачей компаний должна стать подготовка к неизбежному проникновению и минимизация его последствий. Это называется киберуязвимостью — способность противостоять непрерывным атакам и обеспечивать жизнедеятельность предприятия в условиях угрозы.

Вторая важная тенденция — растущая скорость атак.

— Ранее окно между появлением уязвимости и началом её эксплуатации занимало дни, потом недели, затем сократилось до суток. В 2025 году оно достигло отрицательной отметки. Уязвимости становятся известны злоумышленникам быстрее, чем специалистам по защите. Количество нулевых дней растёт, отчасти благодаря искусственному интеллекту. Задумайтесь, сможете ли вы защитить свою систему за столь короткое время, учитывая, что атака может произойти в выходной? — предостерег Лукацкий.

Недостаток персонала, отсутствие ночных смен, слабая экспертиза и непродуманная реакция усугубляют ситуацию. Люди привыкли считать, что наличие «стены» и фаерволла гарантирует безопасность, но игнорируют необходимость готовности к инцидентам. Эта иллюзия контроля усиливается: множество технологий закуплено, а реальные угрозы остаются незамеченными.

Последние крупные взломы страховых и авиакомпаний показывают, что даже богатые организации, оснащенные множеством защитных средств, остаются уязвимыми. Причина кроется в иллюзии контроля: логи ведутся, но никто их не читает, предупреждения поступают ночью, но некому следить за ними, так как нет ночной смены, подрядчики имеются, но нет сценариев взаимодействия на случай инцидента. Безопасность на бумаге преобладает над реальной практикой реагирования.

Ключевая тенденция, по словам Лукацкого, заключается в смещении акцента с профилактики на мониторинг и реагирование. Понимая, что полностью предотвратить атаки невозможно, разработчики продуктов информационной безопасности сосредоточились на постоянном обновлении систем, сценариях реагирования. Эффективная безопасность требует тесного сотрудничества с ИТ-отделами. Надежда на полную автономию центра мониторинга информационной безопасности возможна только через пару лет, а сегодня без человеческого взаимодействия обойтись нельзя.

Успех зависит не от толщины стены, а от способности минимизировать урон. Необходимо делегировать часть задач, применять подход Zero Trust (принцип нулевого доверия), постоянно проверять и адаптироваться к новым угрозам. Важно менять мышление: вместо крепостного — гибкое, многоуровневое и постоянно обновляемое. Только так можно продлить свою безопасность и оставаться на шаг впереди злоумышленников, резюмировал Лукацкий.

Заблокировать VPN полностью можно, но тогда придётся заблокировать весь интернет

Рассуждая об ограничениях, применяемых в России, Лукацкий выделил два основных направления в развитии VPN-сервисов. Первое касается исторически сложившихся средств шифрования, которые существовали ещё в советские времена и продолжают применяться в России. Этот рынок был закрыт и регулировался Федеральной службой безопасности, поскольку именно ей принадлежит контроль над разработкой средств криптозащиты. Такие VPN-средства обеспечивали защищенное взаимодействие между офисами, передачу конфиденциальных данных и удалённый доступ сотрудников к корпоративным ресурсам. Этот сегмент остался неизменным и продолжает функционировать, поскольку нормативные требования к обеспечению конфиденциальности при передаче данных по открытым каналам остаются в силе, особенно актуальными были во время пандемии COVID, когда VPN стал основным инструментом удалённой работы.

Второе направление связано с событиями последних лет, когда Роскомнадзор стал блокировать доступ пользователям с российскими IP-адресами к зарубежным ресурсам, запрещенным внутри страны. В ответ появились новые VPN-сервисы, ориентированные на физических лиц (B2C), построенные на криптографических протоколах и предназначенные для обхода блокировок. Государство борется именно с этой категорией, а не с первыми, потому что первая категория продолжает развиваться, так как нормативы по шифрованию не отменены.

Борьба с VPN внутри страны связана с тем, что государство хочет контролировать информацию, поступающую из-за рубежа, и ограничить доступ граждан к запрещенным ресурсам. Когда речь идёт о блокировках, речь в основном о VPN, используемых гражданами для доступа к зарубежным сервисам, а не о корпоративных решениях. Эта борьба будет продолжаться: разработчики новых протоколов ищут способы обхода, а Роскомнадзор ищет методы их выявления и блокировки.

— На бизнес в большей степени это влияет почти никак, за исключением малых и средних предприятий, которые не обладают либо ресурсами, либо специалистами, которые готовы купить и эксплуатировать средства криптографической защиты. И эти небольшие компании, в том числе индивидуальные предприниматели, используют обычные B2C-VPN сервисы, которые, собственно, и блокируют, — пояснил Лукацкий.

Чтобы малый бизнес не страдал от ограничений, Роскомнадзор предлагает процедуру, которая позволяет вести белые списки VPN-сервисов в стране. Организация может обратиться в Роскомнадзор, указать IP-адреса для защищенного соединения, и эти адреса попадут в белый список, что исключит блокировку. Однако не все знают о такой возможности или не желают публично «светиться». В итоге многие бизнесы считают, что блокировки мешают им работать, хотя на самом деле есть множество легальных способов использования VPN для бизнес-задач. Пострадают в первую очередь пользователи, и эта проблема будет только усугубляться.

При этом Лукацкий допустил, что полная блокировка VPN-сервисов возможна, но для этого придётся заблокировать весь интернет.

— Спутники у нас находятся под контролем государства. Поэтому достаточно несложно заблокировать весь интернет, но на это сейчас никто не пойдет, потому что никто не может оценить или, наоборот, оценили и не готовы к последствиям, которые будут. Потому что у нас есть межгосударственный обмен, у нас есть те же самые финансовые транзакции, у нас есть взаимодействие с дружественными государствами, у нас есть дипломатическое общение, военное общение, и все оно проходит по тем же самым интернет-каналам, только с применением соответствующих технологий. Поэтому, если блокировать весь интернет, это блокировать в том числе и то, что нужно для государства. На это никто не пойдет, — сказал эксперт.

При этом ограничения явно мешают. Недавние совещания в Роскомнадзоре показывают, что блокировки мешают российским разработчикам получать доступ к зарубежным технологиям.

— Они пытаются находить какие-то способы решения этой задачи, но по большому счету государство здесь помочь ничем не может, потому что каждый разработчик прекрасно знает сам, как обходить эти ограничения, блокировки и как решать эти задачи. На мой взгляд, попытка переложить это на государство приведет только к ухудшению ситуации, потому что государство отстаивает свои интересы, а они зачастую противоречат интересам частного бизнеса и отдельных компаний. Поэтому здесь мы точно столкнемся с ограничением технологий, которые попадают в Россию, и снижением прогресса, — рассуждал Лукацкий.

Несмотря на ограничения, Россия по-прежнему получает доступ к иностранным технологиям, хотя многое зависит от политической воли государства — продолжит ли оно жестко ограничивать или будет вести политику «ни шатко ни валко».

Каждая вторая кибератака наносит бизнесу серьёзный урон

Тесты на оценку уровня защиты корпоративных систем показывают, что ситуация с кибербезопасностью оставляет желать лучшего, констатировал лидер продуктовой практики MaxPatrol Carbon Константин Маньяков. Большинство компаний реализуют меры, основанные на требованиях регуляторов: приобретают соответствующие продукты, которые вроде бы должны закрывать определенные задачи, однако зачастую их настройка выполнена неграмотно или недоработана. В результате такие системы не обеспечивают должного уровня защиты. Те организации, которые действительно стараются внедрять и регулярно проверять свою безопасность, например проводят ежегодные или полуторагодичные испытания защиты, тоже совершают ошибку. Они считают, что устранили все уязвимости, ведь на момент проверки системы казались «закрытыми». Но реальность такова, что за это время появляются новые угрозы, инфраструктура меняется, и атакующие используют другие, более продвинутые методы. Поэтому одних только проверок недостаточно: нельзя объективно судить о степени защищенности системы в моменте.

Маньяков добавил, что количество уязвимостей в инфраструктуре увеличивается, а атаки становятся проще для злоумышленников. Активно развиваются модели искусственного интеллекта, которые значительно снижают порог входа в киберпреступность. Раньше для проведения сложных атак требовались высокие компетенции, крупные инвестиции в инфраструктуру и длительное обучение. Теперь же запуск ИИ-моделей позволяет автоматизировать процессы, создавать агентов и проводить атаки практически с минимальными затратами.

— Порог входа вот в эту историю сильно снижается. Если раньше атакующий должен был обладать серьёзными компетенциями, серьёзной инфраструктурой, то есть вкладывать в это деньги, обучаться для того, чтобы проводить сложные атаки, от которых непросто защититься, то сейчас можно просто запустить ИИ-модель и она сама проводит атаки, — поделился эксперт.

Количество киберугроз растёт, и мы наблюдаем, что их число точно не уменьшается. Более того, предугадать развитие атак и вовремя на них отреагировать становится все труднее, что усложняет работу служб информационной безопасности. Кроме того, инфраструктура постоянно изменяется: происходит импортозамещение, цифровизация, расширяется масштаб систем.

Последствия кибератак на бизнес стали более серьёзными: почти каждый второй инцидент существенно затрагивает операционную деятельность компаний.

— Атаки стали серьёзнее и ощутимее для бизнеса. Тут дело не в количестве даже, а вот именно в том, куда они могут дойти и какой сценарий недопустимых событий для бизнеса реализуется, — заметил Маньяков.

По оценке эксперта, доля случаев, когда кибератаки приводят к прекращению основной операционной деятельности, достигает 50%. В 65% случаев в результате атак происходит утечка данных.

Российский рынок предлагает новые решения в области кибербезопасности, которые позволяют противодействовать угрозам. Однако их стоимость растёт, и компаниям приходится выделять все больше средств на обеспечение защиты данных. По словам собеседника «Вечерней Казани», российский бизнес не готов выделять большие инвестиции в эту сферу. Это создает трудности, ведь стоимость устранения последствий инцидента может достигать критических значений, около 5% от годовой выручки. Многие руководители до сих пор не осознают угрозу, полагая, что их бизнес не станет мишенью для хакеров и его не взломают. В результате это может привести к серьёзным проблемам в случае реальной атаки.

Он также рассказал, что в российском бизнесе только ИТ-компании и банки серьёзно вкладываются в кибербезопасность. У этих организаций есть выделенные бюджеты, команды специалистов, они используют современные решения и постоянно обновляют свои системы. Остальные компании используют решения, которые находятся в общем доступе, или делегируют защиту данных штатным ИТ-специалистам. Бюджета, который компании выделяют на информационную безопасность, недостаточно для выстраивания полноценной многоуровневой защиты. Для этого нужно не только приобретать лицензии и обновлять их, но и платить специалистам, настраивать системы, внедрять новые решения, которые постоянно появляются на рынке из-за усложнения и роста угроз.

После серьёзных инцидентов компании обычно не всегда публикуют детали для сохранения репутации, но в некоторых случаях делятся информацией об инциденте, например используют данные для блокировки схожих атак и предупреждения других участников рынка. В случае ransomware (заражение вирусом-вымогателем), когда инфраструктура шифруется и требуют выкуп, восстановление занимает много времени и ресурсов, и тогда приходится возвращаться к резервным копиям. Некоторые компании после подобных инцидентов усиливают свою инфраструктуру, закупают новые средства защиты, внедряют более современные решения, такие как системы обнаружения и блокировки конкретных типов атак. А некоторые пускают ситуацию на самотёк, ожидая следующей кибератаки.

По словам Маньякова, российские производители и решения вполне способны закрывать большинство задач по обеспечению кибербезопасности. На рынке есть зрелые продукты, которые успешно конкурируют с зарубежными аналогами и позволяют защищать инфраструктуру на всех уровнях: от профилактики и подготовки до обнаружения и реагирования. Этот опыт и развитие отечественных решений уже сейчас вызывают интерес и у других стран, что подтверждает их конкурентоспособность.